#信服智创# 【项目案例】aTrust替换SSL VPN:零信任落地与分批迁移实战
信服智创 | 参与得豆!2026技术征文大赛正式启幕!目录:一、项目背景二、现网问题分析三、方案设计与实现四、实施过程与关键步骤五、效果验证六、项目价值总结 一、项目背景 1.1 企业概况 杭州某供应链企业,主要为上下游合作方提供订单、库存及物流相关系统服务。业务系统数量不多,但均为日常生产核心系统,对稳定性和访问连续性要求较高。 业务经年扩展,外部访问需求逐步增加,包括分支人员、合作方以及移动办公场景。 1.2 现网访问方式 企业于2018年部署SSL VPN作为远程访问入口,整体使用方式较为固定: (1)用户需安装SSL VPN客户端 (2)通过客户端建立连接后接入内网 (3)再通过“域名 + 端口”访问具体业务系统 该模式在早期运行稳定,能够满足基本远程接入需求。 1.3 改造触发因素 本次改造由多方面因素共同推动: (1)设备生命周期到期 现有SSL VPN设备将于2026年进入EOS阶段,后续不再提供版本更新与技术支持,继续使用存在一定风险。 (2)终端环境变化 鸿蒙NEXT系统逐步落地,原有依赖客户端的接入方式在新终端上的适配存在不确定性,需要提前规划替代方案。 (3)设备运行年限较长 设备已运行多年,在稳定性和后续扩展能力方面存在一定隐患。 (4)访问需求发生变化 用户对访问方式提出了新的要求: ·希望能够管控业务系统里的个别模块 ·外部访问与内部访问希望有区分 在上述背景下,企业开始评估新的远程访问方案。 二、现网问题分析 2.1 生命周期带来的运行风险 设备即将进入EOS阶段,现网方案在长期运行上存在不确定性: (1)后续无法获得安全更新与漏洞修复 (2)出现问题时缺乏厂商支持 (3)无法满足持续运行与合规要求 2.2 新终端环境下的适配问题 当前远程访问依赖客户端方式,在传统终端环境下运行稳定,但在新终端体系(如鸿蒙NEXT)中存在潜在问题: (1)客户端适配情况不明确 (2)后续终端扩展存在不确定性 2.3 访问控制能力不足 现网SSL VPN主要解决“能访问”的问题,但在实际使用中,企业管理要求提升,逐步出现以下情况: (1)内外网访问缺乏差异的认证方式 (2)部分业务系统需要限制具体URL路径访问 因此,我们推荐客户引入零信任atrust进行替换SSL VPN。 三、方案设计与实现 3.1 设计原则 (1)不影响现有SSL VPN业务、平滑切换 (2)保持原有业务访问方式不变(域名 + 端口) (3)优先满足当前需求(终端适配、精细化访问控制等等) 3.2 整体方案说明 改造后访问路径与原SSL VPN类似: 用户终端 ↓ aTrust / SSL VPN ↓ 业务系统 业务系统访问方式未改变,仅对访问入口进行替换。 3.3 访问控制实现方式 结合当前需求,访问控制设计保持简化,主要实现以下几点: (1)用户与系统对应关系 ·不同用户访问指定业务系统 ·未授权系统不可访问 (2)内外网访问区分 ·内网访问:保持相对宽松认证策略 ·外网访问:增加二次认证、增强认证等 (3)URL级访问控制 ·对特定URL路径进行访问控制 ·限制部分功能访问权限 3.4 实施方式设计 (1)业务系统保持不变 ·原有访问地址不调整 ·不影响业务系统配置 (2)分阶段切换 ·新访问方式逐步上线 ·用户分批迁移 (3)并行运行 ·SSL VPN与新方案短期并行 ·出现问题可快速回退 四、实施过程与关键步骤 4.1 准备阶段 (1)现网梳理 ·梳理用户、业务系统及访问路径 ·记录原SSL VPN策略和使用情况 (2)aTrust部署 ·完成设备部署 ·完成网络及接入配置等基础配置 (3)网络与出口策略配置(需要客户配合操作) ·配置出口设备端口映射(使用公网IP+新端口),将aTrust的接入端口443与隧道端口441映射在公网,与SSL VPN并行。 ·配置内外网DNS域名解析,确保新访问入口正常解析 ·配置访问策略,允许aTrust设备IP访问业务系统 4.2 配置阶段 在基础部署完成后,进行设备配置: (1)用户配置 对接客户现有AD域用户目录 (2)认证策略 设置内网和外网访问的差异化认证策略 (3)应用配置 ·在aTrust上发布业务系统 ·配置应用访问路径,确保用户通过入口访问业务系统 (4)授权配置 根据用户组配置业务系统访问权限 (5)安全管控策略 配置URL级访问控制,确保关键功能和资源的访问安全 4.3 切换阶段 在策略验证完成后,采用分批切换方式将用户迁移至aTrust新访问入口: (1)按部门或业务系统批次逐步迁移 (2)与原SSL VPN短期并行运行,确保业务连续性 (3)完成全量用户切换后,正式停用原SSL VPN 五、效果验证 5.1 验证项目 (1)用户登录验证:确保所有用户能够正常登录 aTrust 访问入口 (2)业务系统访问验证:确认用户可访问其授权的业务系统 (3)内外网认证策略验证:验证内网与外网访问策略差异生效 (4)URL 级访问控制验证:确认关键路径和受控功能按策略限制访问 5.2 验证结果 (1)用户登录:用户能顺利登录 aTrust,无异常报错。 (2)业务系统访问:用户仅能访问其授权的业务系统,权限控制准确生效。 (3)内外网认证策略:内网访问保持正常认证流程,外网访问的二次认证、增强认证策略均按设计生效。 (4)URL 级访问控制:关键路径和受控功能访问严格受控,未授权访问被有效阻断。 (5)业务连续性:迁移过程中与 SSL VPN 并行运行,用户体验平稳,业务访问不中断。 六、项目价值总结 6.1 安全价值 (1)访问入口统一:用户访问经过aTrust统一入口认证与策略控制 (2)内外网差异化管理:对不同访问来源用户实施不同认证策略 (3)URL级管控:对关键业务功能路径进行精细控制 (4)减少安全隐患:替换即将EOS的SSL VPN,规避长期安全风险 6.2 运维与管理价值 (1)集中策略管理:用户、应用和安全策略在同一平台管理 (2)简化运维操作:不再需在多台设备上重复配置策略 (3)便于扩展:新用户或新业务系统可快速在aTrust发布并管理 6.3 业务连续性价值 (1)平滑切换:分批迁移+并行运行确保业务不中断 (2)稳定访问:用户体验顺畅,迁移期间访问无异常 (3)终端兼容:不同操作系统和终端设备均可访问业务系统 6.4 项目总结 本项目通过aTrust替换SSL VPN实现了: ·安全可控的访问体系 ·集中的策略管理与维护 ·业务连续性与稳定性保障
